QualysGuard architektura a zabezpečení služby

QualysGuard je v různých verzích produktů (dle účelu implementace) dodáván zákazníkům formou externě zajištěné služby, postavené na kombinaci placené zabezpečené webové služby a pronájmu interních testovacích zařízení. Tímto způsobem je dosaženo velmi flexibilního škálování rozsahu poskytování služby a velké variability licencování využívání této služby: od jednotek externích IP adres až po stovky tisíc interních a externích IP adres.

Protože celá takto dodaná služba zákazníkům je provozována na zařízeních dodavatele, nemusí zákazník pořizovat žádné HW a SW vybavení, odpadají náklady spojené s instalací, údržbou a administrací různých typů network-based, host-based nebo aplikačních a databázových scannerů (sond) a není třeba dedikovat pracovníky pro zajištění provozu celé služby. Služba QualysGuard tak může být implementována během několika dní, s respektováním stávající infrastruktury ICS a organizační struktury rolí, zajišťujících provoz a bezpečnost ICT.

Architektura služby QualysGuard
QualysGuard je založen na architektuře "On-demand Web Service" využívající centrální zabezpečenou databázi zranitelností a známých typů útoků více než 400 typů produktů ICT (servery, síťové prvky a jiná zařízení, operační systémy, aplikace, databáze, webové aplikace, VPN a Wi-Fi přístupové body, PDA atd.). Databáze zranitelností je redundantně umístěna na internetových serverech Secure Operation Centers firmy Qualys Inc. a denně aktualizována 50 členným týmem specialistů laboratoří firmy Qualys Inc.
K této databázi přistupují Internet Remote Scanners (internetové servery Qualys), ze kterých je realizováno externí testování systémů zákazníků a Intranet Scanner Appliances (zařízení připojená do firemního intranetu), ze kterých je realizováno interní penetrační testování uvnitř LAN/WAN infrastruktury (systémů nedostupných z internetu).



Zabezpečení služby a klientských dat
Centrální databáze na serverech v Secure Operation Centre (SOC), ve které jsou šifrovaně uloženy uživatelské profily a data spolu se znalostní bází zranitelností ICT produktů, je mnoha-úrovňově zabezpečena soustavou firewallů, IDS a SSL prvků dle principu "defence_in_depth". Veškerá komunikace mezi skenovacími zařízeními, centrální databází v SOC a administrátorsko/uživatelskou konzolí obsluhy probíhá šifrovaně pomocí protokolu SSL v 3.0. Celé řešení služby QualysGuard prochází pravidelně nezávislým bezpečnostním auditem s mnoha certifikacemi.
Volitelně lze rozšířit vybrané varianty služby QualysGuard o dvou-faktorovou autentizaci uživatelů s využitím tokenů RSA SecurID.

Integrace s produkty třetích stran
Produkty QualysGuard obsahují API rozhraní s obousměrným XML exportem a importem dat. Toto rozhraní je využíváno pro integraci se zákaznickými řešeními pro Service Management (workflow pro HelpDesk, Asset Management, Change Management, Patch Management apod.), stejně jako pro integraci s externími službami a produkty třetích stran v oblasti Security Management, jako jsou systémy pro "real-time" řízení bezpečnosti a rizik ICT (Enterprise Security Management, Security Risk Management, Security Event Management, IDS, NAC a dalších).

Bezpečně uložená hesla pomocí Cyber-Ark PIM Suite
Integrace s řešením Cyber-Ark PIM Suite pro správu privilegovaných účtů umožňuje službě QualysGuard provádět testování zranitelností pod administrátorskými (privilegovanými) účty bez nutnosti zadávání přístupových údajů (hesel). Při testování zranitelností získává služba QualysGuard nezbytná oprávnění k testovaným aplikacím přímo od řešení Cyber-Ark. Bez přímého přístupu k citlivým informací, jako jsou přístupové údaje k privilegovaným účtům.